Mit der Wärmebildkamera am Eingangsgebäude oder am Werkstor soll eine automatisierte Temperaturmessung bei allen Personen – Bediensteten und Besuchern – erfolgen, die das Gelände oder Gebäude betreten. Auch wenn bei der automatisierten Messung noch keine weiteren Daten wie der Name oder sonstige Kontaktdaten der betroffenen Person erhoben werden und auch keine Daten gespeichert werden, kann trotzdem ein Rückschluss auf eine konkrete natürliche Person erfolgen. Schließlich würden Personen vom Security-Dienst angesprochen und am Betreten des Gebäudes gehindert. Daraus folgt: Die persönliche Körpertemperatur ist ein Gesundheitsdatum und ganz sicher ein Datum aus der Kategorie besonderer personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Besondere personenbezogene Daten erfordern eine Legitimation. Gibt es diese?
Zwei Gruppen müssen getrennt voneinander betrachtet werden: A) Bedienstete und B) Besucher des Unternehmens.
- A) Bei Beschäftigten ist in § 26 Abs. 3 Satz 1 BDSG („Datenverarbeitung für Zwecke des Beschäftigtenverhältnisses“) keine Legitimation zu finden, weil in jedem Einzelfall eine Interessenabwägung vorzunehmen ist, um die schutzwürdigen Interessen der jeweiligen betroffenen Personen zu berücksichtigen. Es müsste also für jeden einzelnen Beschäftigten abgewogen werden, ob in seinem speziellen Fall die Temperaturmessung verhältnismäßig ist.
- B) Art. 9 Abs. 2 DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 BDSG („Verarbeitung besonderer Kategorien personenbezogener Daten“) könnte eine Ausnahme bei anderen Personen als Beschäftigten begründen. Der Schutz der öffentlichen Gesundheit könnte dies sein, zumal die WHO bereits Anfang März das Coronavirus als Pandemie klassifiziert hat. Aber ist darüber hinaus anzunehmen, dass die Erhebung der Körpertemperatur ein geeignetes Mittel zur Eindämmung der Pandemie ist? Klares Nein. Schließlich können auch andere Krankheiten mit einer erhöhten Körpertemperatur einhergehen. Theoretisch möglich, aber praktisch kaum umsetzbar, wäre das Einholen einer Einwilligung.
„Der Einsatz von Wärmebildkameras ist für Unternehmen nicht zu empfehlen. Es ist kein verhältnismäßiges und probates Mittel, um die Corona-Pandemie einzudämmen. Außerdem setzen sich die Unternehmen der Gefahr eines schwerwiegenden Verstoßes gegen die DSGVO aus“, zieht UIMC-Geschäftsführer Dr. Jörn Voßbein ein klares Fazit. Übrigens: Bei einem Verstoß gegen die DSGVO droht ein Bußgeld in Höhe von 4 Prozent des Jahresumsatzes des Unternehmens. „Daneben könnte der Wärmebildkameraeinsatz für ein Unternehmen auch noch rufschädigende Auswirkungen haben“, weist Dr. Jörn Voßbein noch auf Schäden hin, die vermieden werden sollten.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de